BAIT, MaRISK, DSGVO: Von der mobilen Schatten-IT ins Licht – Teil 2
MicroOne/bigstock.com
Die mobile Schatten-IT auf Smartphones und Tablets ist eine Achillesferse der IT-Sicherheit. Mitarbeiter bei Finanzdienstleistern nutzen nicht genehmigte Software und umgehen damit interne Vorschriften, rechtliche Regeln und Compliance-Anforderungen. Sicherheits-Container auf mobilen Endgeräten bieten eine effiziente Möglichkeit, um die komplexen Vorgaben umzusetzen.
von Autor Günter Junk, CEO Virtual Solution
WhatsApp wird von vielen nicht nur im privaten Umfeld geschätzt und genutzt, sondern kam und kommt auch heute noch für unternehmensinterne Kommunikation zum Einsatz. Zum Teil stillschweigend geduldet und unter Missachtung der Vorschriften der Unternehmens-IT nutzen Mitarbeiter von Banken und Versicherungen auf den firmeneigenen Smartphones Anwendungen wie WhatsApp, Evernote oder Fileshares wie Dropbox für berufliche Zwecke.
An der offiziellen IT vorbei ist mancherorts bei Finanzdienstleistern eine mobile Schatten-IT entstanden. Sie stellt Unternehmen vor beachtliche rechtliche Herausforderungen:
Die Einhaltung von Compliance-Anforderungen, der EU-Datenschutzgrundverordnung und von Vorschriften zu Aufbewahrungspflichten ist dabei natürlich in keiner Weise sichergestellt. Vor allem aber entsteht durch die Schatten-IT eine permanente Gefahr für die IT-Sicherheit.”
Ungenügend geschützte mobile Apps stellen Angreifern eine riskante Angriffsfläche bereit, über die sie einen raschen Zugang zum Rechenzentrum und einer Vielzahl sensibler Unternehmensdaten erhalten können.
Autor Günter Junk, CEO Virtual Solution
Günter Junk ist seit Oktober 2016 Chief Executive Officer (CEO) der Virtual Solution. Seine berufliche Laufbahn in der Technologiebranche begann beim US-Konzern Hewlett-Packard unmittelbar nach Abschluss seines Studiums der Nachrichtentechnik an der Universität zu Köln. In Folge war Günter Junk maßgeblich für das Wachstum der Firma Cisco Systems verantwortlich, als Geschäftsführer in Deutschland und später als VP Operation in der gesamten Region EMEA. Umfangreiche Erfahrung in der Sicherheitsindustrie erwarb Günter Junk bei dem Netzwerksicherheitsspezialisten Astaro und dem Sicherheits-Spezialisten Sophos, zuletzt als General Manager der Sophos Security Group.
Mit einem breiten Angebot an Cloud- und SaaS-Applikationen und der zunehmenden Nutzung von Smartphones und Tablets sind die Herausforderungen bezüglich der mobilen Schatten-IT deutlich gestiegen. Das gilt für alle Branchen, hat bei den Finanzdienstleistern aber noch eine eigene Brisanz, da hier besonders wertvolle und schützenswerte Daten verarbeitet werden. Denn welcher Bank- oder Versicherungskunde möchte schon, dass Informationen über seine finanzielle Situation oder Kontodaten nicht autorisierten Personen zugänglich sind?
Besondere Anforderungen an Banken
Daher gibt es für Banken und Versicherungen auch besondere Anforderungen. Dies gilt zunächst einmal für die von der Bundesanstalt für Finanzdienstleistungen (BaFin) Ende 2017 veröffentlichten Bankaufsichtlichen Anforderungen an die IT (BAIT); diese konkretisieren die Mindestanforderungen an das Risikomanagement (MaRisk), die von der BaFin erstmals 2005 publiziert wurden. Dazu kommt die seit Mai 2018 geltende EU-Datenschutzgrundverordnung (DSGVO).
In den MaRisk befinden sich bereits zentrale Anforderungen an das Management der Benutzerberechtigungen: „Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen, insbesondere sind Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt; … Die Eignung der IT-Systeme und der zugehörigen Prozesse ist regelmäßig von den fachlich und technisch zuständigen Mitarbeitern zu überprüfen.“
Die BAIT präzisiert dies: „Berechtigungskonzepte legen den Umfang und die Nutzungsbedingungen der Berechtigungen für die IT-Systeme konsistent zum ermittelten Schutzbedarf sowie vollständig und nachvollziehbar ableitbar für alle von einem IT-System bereitgestellten Berechtigungen fest. Berechtigungskonzepte haben die Vergabe von Berechtigungen an Benutzer nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) sicherzustellen, die Funktionstrennung zu wahren und Interessenskonflikte des Personals zu vermeiden.“ MaRisk, BAIT und die DSGVO gelten natürlich auch für den Einsatz mobiler Endgeräte.
Schutz personenbezogener Daten
Meist wollen Mitarbeiter mit privater Nutzung von Smartphones oder Tablets nur effektiver sein – und sprengen damit ganz ungewollt Sicherheitssysteme.karn684-bigstock
Einen Schwerpunkt der DSGVO bildet der Umgang und Schutz personenbezogener Daten. In jeder Branche – und damit auch bei Finanzdienstleistern – speichern und bearbeiten Unternehmen Daten von Mitarbeitern, Kunden, Lieferanten und Geschäftspartnern. An welchem Ort und auf welchen Geräten sich die „Informationen (befinden), die sich auf eine identifizierbare natürliche Person beziehen“ spielt laut DSGVO keine Rolle. Gerade die Erkenntnis, dass Mitarbeiter im Bereich der mobilen Schatten-IT personenbezogene Daten nutzen, sollte die Verantwortlichen dazu bringen, hier genau nachzuforschen, um „Licht ins Dunkel“ zu bringen.
Schatten-IT: Schulen Sie Ihre Mitarbeiter
Zur Bewältigung dieser Herausforderung sind sowohl technische als auch organisatorische Maßnahmen erforderlich. Das beginnt bereits mit der Schulung der Mitarbeiter. Deren Unachtsamkeit beim Umgang mit unternehmenseigenen Smartphones beruht oft auf Wissensdefiziten bezüglich der rechtlichen Konsequenzen. In einigen Unternehmen haben Abteilungen einen gewissen Entscheidungsspielraum, mit welchen IT-Tools sie arbeiten wollen. Wichtig ist, dass die IT mit den Fachabteilungen ein offenes, vertrauensvolles Miteinander pflegt, damit Mitarbeiter auf stationären und mobilen Endgeräten mit zulässigen Applikationen arbeiten und alle rechtlichen Vorgaben eingehalten werden.
Technische Vorkehrungen treffen
SecurePIM gegen Schatten-IT
SecurePIM sei eine einfache und sichere Möglichkeit, mobil zu arbeiten. Die Container-App SecurePIM für iOS und Android vereine alle wichtigen Business-Funktionen für das mobile Arbeiten – und schütze so vor Schatten-IT.
Im Artikel 25 der DSGVO heißt es, dass Verantwortliche geeignete technische Vorkehrungen implementieren müssen, um die Datenschutzgrundsätze wirksam umzusetzen. Finanzdienstleister können diese Anforderungen bei mobilen Endgeräten durch eine Container-basierte Trennung von geschäftlichen und privaten Daten und Anwendungen erfüllen. Damit lassen sich sensible geschäftliche Daten zuverlässig vor externen Bedrohungen sowie vor unbefugter Verwendung schützten. Befinden sich Daten von Kunden und Geschäftspartnern und die zugehörigen Apps in einem verschlüsselten Container und wird auch die Kommunikation vom mobilen Endgerät in die Unternehmens-IT lückenlos verschlüsselt, sind Finanzdienstleister in der Lage, die anspruchsvollen Vorgaben aus MaRisk, BAIT und DSGVO zu erfüllen.aj
Sie finden diesen Artikel im Internet auf der Website: https://itfm.link/80438
Günter Junk ist seit Oktober 2016 Chief Executive Officer (CEO) der Virtual Solution. Seine berufliche Laufbahn in der Technologiebranche begann beim US-Konzern Hewlett-Packard unmittelbar nach Abschluss seines Studiums der Nachrichtentechnik an der Universität zu Köln. In Folge war Günter Junk maßgeblich für das Wachstum der Firma Cisco Systems verantwortlich, als Geschäftsführer in Deutschland und später als VP Operation in der gesamten Region EMEA. Umfangreiche Erfahrung in der Sicherheitsindustrie erwarb Günter Junk bei dem Netzwerksicherheitsspezialisten Astaro und dem Sicherheits-Spezialisten Sophos, zuletzt als General Manager der Sophos Security Group.
Schreiben Sie einen Kommentar